Академический Документы
Профессиональный Документы
Культура Документы
auditoria de sistemas
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
A. Naranjo
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
Indice general:
Introducción...................................................................................................................... 4
Conceptos de Auditoría de Sistemas ................................................................................ 4
Politicas en informatica .................................................................................................. 18
Titulo I ............................................................................................................................ 18
Titulo II........................................................................................................................... 20
Lineamientos para la adquisición de bienes de informática ........................................... 20
Titulo III ......................................................................................................................... 26
Instalaciones ................................................................................................................... 26
Titulo IV ......................................................................................................................... 27
Lineamientos en informática .......................................................................................... 27
Capitulo I ........................................................................................................................ 27
Informacion .................................................................................................................... 27
Capitulo II....................................................................................................................... 28
Funcionamiento .............................................................................................................. 28
Capitulo III ..................................................................................................................... 29
Plan de contingencias ..................................................................................................... 29
Capitulo IV ..................................................................................................................... 30
Estrategias....................................................................................................................... 30
Disposiciones transitorias ............................................................................................... 31
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 3
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
Conceptos de la Auditoría de Sistemas
Introducción
Conceptos de Auditoría de Sistemas
La palabra auditoría viene del latín auditorius y deesta proviene auditor, que tiene la virtud de
oir y revisar cuentas, pero debeestar encaminado a un objetivo específico que es el de evaluar
la eficiencia yeficacia con que se está operando para que, por medio del señalamiento
decursos alternativos de acción, se tomen decisiones que permitan corregir loserrores, en caso
de que existan, o bien mejorar la forma de actuación.
Daños
Uso no autorizado
Robo
Oportuna
Confiable
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 4
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
x Eficiencia en el uso de los recursos informáticos
x Validez de la información
x Efectividad de los controles establecidos
Tipos de Auditoría
Existen algunos tipos de auditoría entre las que la Auditoríade Sistemas integra un mundo
paralelo pero diferente y peculiar resaltando suenfoque a la función informática.
Evalúa la eficiencia,
Operacional Eficacia
Administrativa Analiza:
Evalúa:
Calidad Métodos
Mediciones
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 5
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
x Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la
recomendación de seguridades y controles.
x Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para
lograr los objetivos propuestos.
x Seguridad de personal, datos, hardware, software e instalaciones
x Apoyo de función informática a las metas y objetivos de la organización
x Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
x Minimizar existencias de riesgos en el uso de Tecnología de información
x Decisiones de inversión y gastos innecesarios
x Capacitación y educación sobre controles en los Sistemas de Información
Controles
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren lascausas del riesgo, permitiendo
cierto margen de violaciones .
Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de
ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos.
Procedimientos de validación
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 6
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
Ayudan a la investigación y corrección de las causas delriesgo. La corrección adecuada puede
resultar dificil e ineficiente, siendonecesaria la implantación de controles detectivos sobre los
controlescorrectivos, debido a que la corrección de errores es en si una actividadaltamente
propensa a errores.
Autenticidad
1. Passwords
1. Firmas digitales
Exactitud
1. Validación de campos
1. Validación de excesos
Totalidad
1. Conteo de regitros
1. Cifras de control
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
Redundancia
1. Cancelación de lotes
1. Verificación de secuencias
Privacidad
1. Compactación
1. Encriptación
Existencia
1. Bitácora de estados
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 7
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
1. Mantenimiento de activos
Protección de Activos
1. Extintores
1. Passwords
Efectividad
1. Encuestas de satisfacción
Eficiencia
1. Programas monitores
1. Análisis costo-beneficio
inicialmente.
No es conveniente que la clave este compuesta por códigos deempleados, ya que una persona
no autorizada a través de pruebas simples o dededucciones puede dar con dicha clave.
Para redefinir claves es necesario considerar los tipos declaves que existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual ypersonal. Esta clave permite al momento
de efectuar las transacciones registrara los responsables de cualquier cambio.
Confidenciales
De forma confidencial los usuarios deberán ser instruidosformalmente respecto al uso de las
claves.
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 8
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
No significativas
Incluir rutinas que verifiquen la compatibilidad de los datosmas no su exactitud o precisión; tal
es el caso de la validación del tipo dedatos que contienen los campos o verificar si se
encuentran dentro de un rango.
Conteo de registros
Totales de Control
Verficación de limites
Verificación de secuencias
Dígito autoerificador
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
El software de seguridad permite restringir el acceso almicrocomputador, de tal modo que solo
el personal autorizado pueda utilizarlo.
La máxima autoridad del Area de Informática de una empresao institución debe implantar los
siguientes controles que se agruparan de lasiguiente forma:
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 9
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
2.- Controles de Organización y Planificación
Controles de Preinstalación
Objetivos:
Acciones a seguir:
disposiciones legales.
x Efectuar las acciones necesarias para una mayor participación de proveedores.
x Asegurar respaldo de mantenimiento y asistencia técnica.
1. Diseñar un sistema
1. Operar el sistema
1. Control de calidad
Se debe evitar que una misma persona tenga el control de todauna operación.
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 10
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
x La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera
que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
x Las funciones de operación, programación y diseño de sistemas deben estar claramente
delimitadas.
x Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no
tengan acceso a la operación del computador y los operadores a su vez no conozcan la
documentación de programas y sistemas.
x Debe existir una unidad de control de calidad, tanto de datos de entrada como de los
resultado del procesamiento.
x El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente
definidos por escrito.
x Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo
sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática"
x Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la
planificación y evaluación del cumplimiento del plan.
x Las instrucciones deben impartirse por escrito.
Se debe justificar que los sistemas han sido la mejor opciónpara la empresa, bajo una relación
costo-beneficio que proporcionen oportuna yefectiva información, que los sistemas se han
desarrollado bajo un procesoplanificado y se encuentren debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseño e implantaciónde los sistemas pues aportan
conocimiento y experiencia de su área y estaactividad facilita el proceso de cambio
x El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y
solicitar la implantación de rutinas de control
x El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos,
metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.
x Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas
u otros mecanismos a fin de evitar reclamos posteriores.
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
x Los programas antes de pasar a Producción deben ser probados con datos que agoten todas
las excepciones posibles.
x Todos los sistemas deben estar debidamente documentados y actualizados. La
documentación deberá contener:
Informe de factibilidad
Diagrama de bloque
Listado original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobación de modificaciones
Formatos de salida
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 11
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
x El sistema concluido sera entregado al usuario previo entrenamiento y elaboración de los
manuales de operación respectivos
Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo que siguela información desde la entrada
hasta la salida de la información, lo queconlleva al establecimiento de una serie de seguridades
para:
Acciones a seguir:
Controles de Operación
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
x Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante
un proceso
x Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
x Garantizar la integridad de los recursos informáticos.
x Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Recursos Informáticos
Acciones a seguir:
x El acceso al centro de computo debe contar con las seguridades necesarias para reservar el
ingreso al personal autorizado
x Implantar claves o password para garantizar operación de consola y equipo central
(mainframe), a personal autorizado.
x Formular políticas respecto a seguridad, privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de
violación y como responder ante esos eventos.
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 12
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.
x Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos.
x Los operadores del equipo central deben estar entrenados para recuperar o restaurar
información en caso de destrucción de archivos.
x Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares
seguros y adecuados, preferentemente en bóvedas de bancos.
x Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
x Todas las actividades del Centro de Computo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.
x El proveedor de hardware y software deberá proporcionar lo siguiente:
x Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi
como extintores de incendio, conexiones eléctricas seguras, entre otras.
x Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje
como: reguladores de voltaje, supresores pico, UPS, generadores de energía.
x Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo
que se produzca por casos fortuitos o mala operación.
Es la tarea mas difícil pues son equipos mas vulnerables, defácil acceso, de fácil explotación
pero los controles que se implantenayudaran a garantizar la integridad y confidencialidad de la
información.
Acciones a seguir:
Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
Analizados los distintos tipos de controles que se aplican enla Auditoría de Sistemas
efectuaremos a continuación el análisis de casos desituaciones hipotéticas planteadas como
problemáticas en distintas empresas ,con la finalidad de efectuar el análisis del caso e
identificar las accionesque se deberían implementar .
Naranjo, A.. Conceptos de la auditoria de sistemas, El Cid Editor | apuntes, 2009. ProQuest Ebook Central, 13
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3181488.
Created from bibliouniminutosp on 2019-05-06 08:06:44.